安基網 首頁 安全Web安全
訂閱

Web安全

  • Laravel 5.8 SQL 注入漏洞詳解

    Laravel 5.8 SQL 注入漏洞詳解
    0x01 背景最近研究Laravel框架的代碼審計,因為3月份爆出過一個ignore函數的一個漏洞,網上找了些文章,看了下, 自己搭建環境測試,一直沒有成功, 自己就詳細的審計了一遍0x02 laravel介紹Laravel 在全球范圍內有著眾多用戶。該框架在國外很受歡迎,國外用戶量遠大于國內。當然,國內也有大型企業使用該框 ...
    2019-6-8 08:51
  • Sql注入銜接作者番茄小姐姐

    Sql注入銜接作者番茄小姐姐
    什么是sql注入?所謂SQL注入,就是通過把SQL命令插入到 Web表單提交 或 URL 或 頁面請求等的查詢字符串中,最終達到欺騙服務器執行惡意的SQL命令。注:從這句話看出常見的注入點在a. web表單b. URL鏈接中c. 登錄框(頁面請求查詢)二、SQL注入原理SQL注入(SQLInjection)是這樣一種漏洞:當我們的Web a ...
    2019-5-27 00:46
  • 無需括號和分號的XSS

    無需括號和分號的XSS
    幾年前,我發現了一種在javascript語句中調用函數而不使用括號(使用onerror和throw)的方法。它的工作原理是將onerror設置為你想調用的函數,然后用throw語句將參數傳遞給函數:scriptonerror=alert;throw 1337/scriptonerror在每次javascript執行異常時都會被激活,調用指定的處理程序,并且t ...
    2019-5-21 04:12
  • JSON劫持攻擊[匯總]

    JSON劫持攻擊[匯總]
    JSON 劫持又為“ JSON Hijacking ”,最開始提出這個概念大概是在 2008 年國外有安全研究人員提到這個 JSONP 帶來的風險。其實這個問題屬于 CSRF( Cross-site request forgery 跨站請求偽造)攻擊范疇。當某網站聽過 JSONP 的方式來快域(一般為子域)傳遞用戶認證后的敏感信息時,攻擊者可以構造惡意 ...
    2019-5-17 02:51
  • W12Scan:一款功能強大的網絡安全資產掃描引擎

    W12Scan:一款功能強大的網絡安全資產掃描引擎
    W12是一款功能強大的網絡安全資產掃描引擎,它可以自動收集關于分析目標的相關資產信息,以供研究人員分析和使用。
    2019-5-14 17:31
  • 關于Web安全知識的扎心10問!你了解幾個?

    關于Web安全知識的扎心10問!你了解幾個?
    常聽前輩講:如今學生,才學1分,便覺知3分;才學3分,便覺知7分。若能達7分,方知才1分。菜鳥和高手的區別,不完全在于你學了多少,更看你能否清晰認知到目前所處階段,正確迸發出對下一階段知識的渴望。 技術領域更是如此,才學一二,懵懵懂懂便提槍躍馬,被馬兒調戲一 ...
    2019-5-11 13:53
  • 【安全】58反抓取簡介

    【安全】58反抓取簡介
    0x00 介紹網絡爬蟲,常又被稱呼為Spider,網絡機器人,主要模擬網絡交互協議,長時間,大規模的獲取目標數據。普通爬蟲會從網站的一個鏈接開始,不斷收集網頁資源,同時不斷延伸抓取新獲取的URL以及相應的資源。在對抓取目標內容結構分析的基礎上,還會有目的性更強的聚焦型爬蟲。爬蟲對網站的抓取,最 ...
    2019-5-8 14:54
  • “找回密碼”郵件騷操作之帳戶接管

    “找回密碼”郵件騷操作之帳戶接管
    在這篇文章中,我將講述我在某個網絡應用中所找到的邏輯漏洞,它存在于“找回密碼”這個功能中,可以讓我接管任意用戶的帳號。雖然最后進行攻擊的方式是通過釣魚手段,但這個漏洞依然有足夠的威脅。以下我將目標稱為“app”。
    2019-4-24 17:35
  • 新辦法繞過xss過濾

    新辦法繞過xss過濾
    大家都知道,普遍的防御XSS攻擊的方法是在后臺對以下字符進行轉義:、、’、”,但是經過本人的研究發現,在一些特殊場景下,即使對以上字符進行了轉義,還是可以執行XSS攻擊的。首先看一個JS的例子:Defaultscriptv ...
    2019-4-20 10:56
  • 常見六大Web安全攻防解析

    常見六大Web安全攻防解析
    前言在互聯網時代,數據安全與個人隱私受到了前所未有的挑戰,各種新奇的攻擊技術層出不窮。如何才能更好地保護我們的數據?本文主要側重于分析幾種常見的攻擊的類型以及防御的方法。一、XSSXSS (Cross-Site Scripti ...
    2019-4-18 13:08
  • Web弱口令通用檢測方法探究

    Web弱口令通用檢測方法探究
    注意:本腳本只是探討通用web口令破解的可行性,所有測試請自行搭建靶機環境或者在拿到目標系統相關授權后再進行測試。文中所涉及的技術、思路和工具僅供以安全為目的的學習交流使用,任何人不得將其用于非法用途以及盈利等目的,否則后果自行承擔!
    2019-4-16 17:35
  • 網站安全防護深度解讀:DDoS攻擊、網站入侵以及網站篡改解決方案

    網站安全防護深度解讀:DDoS攻擊、網站入侵以及網站篡改解決方案
    隨著互聯網的普及,網絡安全變得越來越重要。企業的運維團隊需要掌握基本的web安全知識,防患于未然,本篇文章提供多種網站安全防護場景,以及對應的防御解決方案。網站安全網站面臨的安全風險和挑戰1.網站攻擊網站漏洞針對網站的攻擊呈現復雜性和多樣性,如SQL注入,XSS等攻擊對于企業網站正常運行產 ...
    2019-4-10 01:08
  • H2T:一款掃描網站安全并給出安全實踐建議的工具

    H2T:一款掃描網站安全并給出安全實踐建議的工具
    今天給大家介紹的是一款名叫h2t的開源工具,廣大研究人員可以利用這款工具來對目標站點進行安全掃描,并獲取專業的安全實踐建議。雖然h2t的使用非常簡單,但它能夠很大程度地幫助系統管理員提升網站的安全性。目前,h2t可以檢測網站的header,并給出安全實踐建議。依賴組件Python 3coloramarequests工 ...
    2019-4-9 00:59
  • Web 系統的安全性測試主要測試點

    Web 系統的安全性測試主要測試點
    隨著因特網的不斷發展,人們對網絡的使用越來越頻繁,通過網絡進行購物、支付等其他業務操作。而一個潛在的問題是網絡的安全性如何保證,一些黑客利用站點安全性的漏洞來竊取用戶的信息,使用戶的個人信息泄漏,所以站點的安全性變得很重要。Web 系統的安全性測試包括以下內容:(1)Web 漏洞掃描(2)服務 ...
    2019-4-4 01:36
  • csrf攻擊原理和防御

    csrf攻擊原理和防御
    1 攻擊概念性的東西就不多說了,大概說一下實踐的過程和涉及的相關知識。網站A:?php if(!isset($_COOKIE)){ if(isset($_GET)) { setcookie("username","cyb");//,time()+3600*24 echo "登錄成功~"; } else echo 登錄失敗~; } else{ echo 登錄成功~; } ? 上面的代碼意思大概是, ...
    2019-4-3 12:40
  • 123下一頁
    最新
    返回頂部
    云南快乐十分开奖结果前三